我正在编写一个使用parse-server(由heroku托管)的应用程序。应用程序非常复杂,包括对象,地图,用户,消息传递,评论等的数据库查询...拉出的大量信息由客户端中的函数处理,如下所示:
let query = PFQuery(className: "Example")
query.whereKey("Name", equalTo: "Value")
query.findObjectsInBacgkround(block: { (objects, error) in
//do stuff
})
这是非常通用的,但是这个结构在整个应用程序(生活在客户端)中用于从数据库中调用对象。我的问题很简单:这是个坏主意吗?让客户端查询服务器是个坏主意吗?我问是因为有人发表评论建议应该避免这种情况,因为有人可以基本上反编译我的应用程序,然后在修改查询后调用服务器获取他们想要的任何信息。对于所有对象都有一个ACL,从而理论上可以防止以这种方式拉出敏感信息。我当然可以理解这个问题,但我很好奇为什么我没有看到在堆栈或互联网上关于这种客户端到服务器查询的问题中回应的那种情绪?
有人反编译你的代码来查询你的数据库不应该是你的担心之一,但是那说,你想要做的不是要走的路。您应该做的是在服务器上处理这些查询,并通过您构建的API将其公开给用户。当用户发出请求时,您可以在服务器上验证是否允许他们发出请求,如果他们是,您可以从查询中发回数据!